Synology certificats

[thrymartin]

Bonjour,
j'ai 2 NAS, un configuré directement sous DSM7 et l'autre encore sous DSM6
sur le premier, j'ai 3 certificats
gnagna.synology.me par défaut
gnagna.direct.quickconnect.to
synology
en fait ça a du s'installer lors de l'installation (?)

mais sur le second, je n'ai que
synology.com

si j'essaye d'ouvrir en https sur le second, avec synology.me, j'ai un message d'erreur et je dois forcer l'ouverture // donc c'est parceque je n'ai pas de certificat synology.me (?)
je cherche de partout, et je ne vois que des créations let's encrypt, or, d'autre part je vois que pour synology.me, c'est plus souple et c'est créé par synology
d'ailleurs c'est noté (RSA/ECC) Synology DDNS Certificate
alors pourquoi je ne l'ai pas sous DSM6 ?
comment le créer ?

Ou alors est ce que c'est créé automatiquement lors d'une mise à jour vers DSM7 ?
(c'est vraiment pour ce genre de chose que je rechigne un peu : si ça crée des problèmes supplémentaires, j'aimerai savoir les résoudre AVANT)

en vous remerciant si vous voulez bien m'éclairer

 

[zypos]

sur le premier, j'ai 3 certificats
gnagna.synology.me par défaut
gnagna.direct.quickconnect.to
synology

Le premier certificat correspond à ton nom de domaine Synology , le second car tu as activé Quickconnect , le 3° doit corresponde au certificat auto-signé ;
Le certificat auto-signé qui est installé par défaut , ne sert à rien : tu peux le supprimer !
Pour le 2° , je n'utilise pas Quickconnect , mais le certificat doit-être créer automatiquement lors de son activation
Le 1° certificat qui correspond à ton nom de domaine en Synology ; il faut le créer au moment de la création du ddns Synology .

mais sur le second, je n'ai que
synology.com

As-tu un nom de domaine Synology pour ce Nas ; pour moi le pb doit venir d'un mauvais paramétrage du DDNS ou du certificat

 

[thrymartin]

As-tu un nom de domaine Synology pour ce Nas ; pour moi le pb doit venir d'un mauvais paramétrage du DDNS ou du certificat

mais oui, oui, j'ouvre habituellement avec un nom-du-NAS.synology.me,
mon problème c'est uniquement le https ou je n'ai pas de certificat du tout ! (sauf synology.com)
j'ai 2 autres NAS sous DSM6 : le mien et celui du boulot : pareil, seul certificat installé : sur l'un synology (tout court) sur l'autre synology.com
rien d'autre ne s'est installé !?

le pire c'est que j'ai essayé de créer avec CSR (bien dans la page certificat du NAS), je télécharge le ZIP, et quand je crée le certificat ça me dit que le certificat et la clé ne correspondent pas ??? clé et certificat créé avec le NAS !?

en fait, avant de passer sous DSM7, je voulais être sur d'accéder au NAS en https (il est distant, celui de ma soeur, je ne suis pas sur place) donc, j'ai vérifié, j'ai bien le port 5001 de coché. Dans la page certificat, je n'ai que synology.com
quand j'essaye d'ouvrir en https avec le 5001, message d'erreur, pour défaut de certificat, et je suis obligé de forcer l'ouverture en http

ce que je ne comprend pas c'est comment avoir un certificat synology pour nom-du-NAS.synology.me ?
pourquoi je passerai par let's encrypt (qui d'ailleurs a des limitations avec son renouvellement manuel / 3 mois d'après ce que j'ai lu)
comment je fais pour avoir la même chose que le NAS sous DSM7 ?

SAUF si on peut me certifier que lors du passage de DSM6 à DSM7, alors cela va se faire tout seul.

 

[jeu2]

Il n'y a pas de renouvellement manuel à faire avec un certificat Let's Encrypt sur un nom de domaine synology.me. Le certificat est renouvelé automatiquement. Seul le port 443 doit être ouvert, tous les autres ports peuvent être fermés y compris le port 80, idéal pour la sécurité et pour fonctionner avec des reverse proxy.
Je suis passé de dsm 6 à DSM 7 via toutes les versions sans aucun problème de certificat.
Comme t'a déjà écrit @zypos , le seul certificat dont tu as besoin est celui correspondant à ton nom de domaine NDD émis par Let's Encrypt:
(Certificat par défaut) (RSA/ECC) NDD.synology.me Let's Encrypt certificat émis par R11

 

[thrymartin]

J'avais vu dans un forum que celui de synology était plus souple (et pas a renouveler / 3mois)
et j'ai vu dans un tuto synology qu'il fallait passer par CSR
sauf qu'il ya 2 manips : 1 / creer la clé 2 /créer le certificat à partir du certificat racine (c'est pour ça que ça me disait que ça ne correspondait pas)
la, ça a marché ... le certificat gngn.synology.me est bien la (c'est indiqué, : émis par synology inc ca
(et pas comme sur le NAS configué directement sous DSM7 : RSA/ECC Synology DDNS Certificate
je me demande toujours comment créer ça ???
le port 443 est bien ouvert (pare feu et redirection de port sur la box)
mais ça marche pas,
je crois que c'est parce que ce certificat gngn.synology.me n'est pas attribué à DSM :
je coche dans "configurer" :
"paramètre système par défaut", attribué a gngn.synology.me,
ben ça marche toujours pas :-(
j'ai coché, certificat "par défaut" et ça marche toujours pas !!!

PS je demandais si en passant de DSM6 à DSM7 cela se faisait tout seul (les 3 certificats) alors que sous DSM n'existe que le certificat racine "synology"
(pas si ça fonctionnait en DSM7 alors qu'on avait deja configuré les certificats en DSM6, ça je suis sur que ça fonctionne)
puisque DSM+6 de base ne comporte que le certificat racine "synology" (ou synology.com sur un autre NAS)
alors que quand j'ai installé un DSM7 sur un NAS neuf, ça s'est fait tout seul !
c'est pour cela que j'ai demandé si en passant de DSM6 à 7 ça se faisait aussi tout seul (?)

 

[zypos]

je crois que c'est parce que ce certificat gngn.synology.me n'est pas attribué à DSM :

Un certificat n'est jamais attribué à DSM ou à une application . Un certificat est attribué à un nom de domaine . La règle : un nom de domaine = un certificat
J'ai deux noms de domaine qui pointent vers mon NAS un nom en synology.me et un .fr pris chez OVH et j'ai bien deux certificats .
Pour résoudre ton pb , le mieux serait de modifier ton nom de domaine Synology : Accès externe / DDNS / modifier . Tu changes le nom d'hôte et tu demande le certificat

 

[thrymartin]

J'ai suivi ce didacticiel de synology

Comment puis-je activer HTTPS et créer une demande de signature de certificat sur mon Synology Unified Controller? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.

kb.synology.com

pourquoi let's encrypt ?
sur DSM7 installé sur un NAS neuf, c'est venu tout seul et c'est synology qui signe le certificat
ça n'a jamais posé de probleme

sur le didacticiel ci-dessus qui indique CSR, c'est aussi synology
mais la, je vois pas ce que j'ai raté parce que ça marche pas :-(
j'ai utilisé la 2eme option (utilisez le certificat racine du systeme) pour avoir le certificat, avec la clé généré précedemment, ça l'a bien créé :
gngn.synology.me
gngn.synology.me certificat par défaut
émis par Synology Inc Ca
pour parametre systeme par défaut

la je vois plus ce qui coince ?

Je sais, faut que je passe par let's encrypt, mais je veux y arriver par synology avec le didacticiel ci dessus

EDIT, ta capture écran c'est sous DSM7, ya pas sous DSM6 par contre, a y regarder de plus pres, sur le NAS installé directement avec DSM7, il est indiqué lets'encrypte pour le certificat actuel ?
alors pourquoi diable il est indiqué "Synology DDNS Certificate" dans le commentaire ?
Bon, j'essaye de signer avec let's encrypt j'arrête d'être buté, mais du coup je vois pas a quoi sert l'option "utilisez le certificat racine du systeme" dans l'onglet CSR si ça ne fonctionne pas ?

je réessaye ce soir

 

[zypos]

sur DSM7 installé sur un NAS neuf, c'ets venu tout seul et c'est synology qui signe le certificat

Venu tous seul a mon sens si tu ne coche pas la case pour l'obtention du certificat il ne va pas se créer . Et c'est bien un certificat Let'S Encrypt qui est demandé via Synology . Tu n'a pas de demande complémentaire à faire .
Si tu prend un nom de domaine tiers ; il va falloir faire la demande de certificat via Sécurité / Certificat / Ajouter ; et ce certificat ne sera valable que pour le nom de domaine " racine " contrairement au certificat demander via Synology qui s'applique également au sous-domaine (que tu peux rajouter par la suite )